Default post cover image

Facebook sla onveilige authenticatietokens op in iPhone-back-ups

Andrew Coles

door Andrew Coles

In de afgelopen maand of zo stonden een handvol iOS-apps in de schijnwerpers met betrekking tot beveiligingszwakheden en iPhone-tracking . Nu is het de beurt aan Facebook, hoewel het probleem in kwestie van toepassing is op veel andere sociale netwerksites zoals LinkedIn, Dropbox en apps die deze sites gebruiken om gebruikers op iOS te verifiëren.

Beveiligingsonderzoeker Gareth Wright ontdekte dat de iOS-app van Facebook verificatietokens bewaart in een gewoon tekstbestand. Deze tokens zijn gelijk aan het wachtwoord dat u gebruikt om in te loggen.

Het opslaan van verificatietokens in een back-up is niet noodzakelijkerwijs een slecht idee. Immers, als je je telefoon moet herstellen vanaf een back-up, is het leuk om te zien hoe alles is ingelogd en het token is nodig om dit te doen. U kunt zien hoe dit werkt met de huidige implementatie van Facebook:

  • Meld u aan bij de Facebook-app op uw iPhone en maak een back-up met iTunes
  • Log uit van de Facebook-app op je iPhone (ga naar de linkeronderzijde van het menu en klik op Settings > Log Out )
  • Herstel de iTunes-back-up op je telefoon

U ziet dat u bent ingelogd. Netjes.

De weg naar de hel is geplaveid met goede bedoelingen

Of Facebook zijn authenticatietoken in de back-up opslaat, is niet het belangrijkste probleem. Het grootste probleem hier is dat het token niet is gecodeerd , geen apparaatspecifiek element heeft en niet tijdsgebonden is . Dat betekent dat iemand het bestand van uw back-up kan halen en het op zijn eigen apparaat kan importeren. In eenvoudige bewoordingen kan iedereen die toegang heeft tot dit bestand volledige toegang hebben tot uw Facebook-account en deze gebruiken om uw identiteit te stelen of uw activiteit bij te houden.

Daarnaast gebruiken veel apps en services van derden Facebook als een authenticatieservice. Als een hacker al is ingelogd op uw Facebook-account, kunnen deze deze services ook gebruiken.

Facebook heeft gereageerd op persbureaus met de volgende opmerking, hoewel ze lijken te laten de waarschijnlijkheid van onveilige back-up hacking die we denken dat is de eenvoudigste methode.

De iOS- en Android-applicaties van Facebook zijn alleen bedoeld voor gebruik met het door de fabrikant geleverde besturingssysteem en toegangstokens zijn alleen kwetsbaar als ze hun mobiele besturingssysteem hebben aangepast (dwz iOS of Android met beperkte macht) of een kwaadwillende acteur toegang tot het fysieke apparaat hebben verleend. We ontwikkelen en testen onze applicatie op een ongewijzigde versie van mobiele besturingssystemen en vertrouwen op de native beveiligingen als een fundament voor ontwikkeling, implementatie en beveiliging, wat allemaal wordt aangetast door een gejailbreakt apparaat. Apple verklaart dat "onbevoegde wijziging van iOS hackers toestaat persoonlijke informatie te stelen ... of malware of virussen te introduceren." Om zichzelf te beschermen, raden we alle gebruikers aan hun mobiele besturingssysteem te wijzigen om instabiliteit van programma's of beveiligingsproblemen te voorkomen.

Moet je je zorgen maken? Om dit bestand te krijgen, moet de persoon fysieke toegang hebben tot uw iOS-apparaat of een pc met een niet-versleutelde opgeslagen back-up. Een informele hacker heeft daar mogelijk geen toegang toe, maar een vastbesloten hacker kan dergelijke toegang mogelijk regelen.

Het is duidelijk dat app-uitgevers zoals Facebook zichzelf kunnen helpen met het volgende:

  • Pas extra encryptie toe op authenticatietokens in de back-up
  • Zorg ervoor dat de tokens een apparaatspecifiek element hebben, zodat ze niet op andere apparaten kunnen worden gebruikt
  • Stel de tokens in om in de nabije toekomst een vervaldatum te hebben
  • Gebruikers waarschuwen voor nieuwe aanmeldingen voor een service van herstelde tokens

Wilt u uw eigen Facebook-authenticatietoken onderzoeken?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor die het auth-token van Facebook leest

U kunt dit doen met de iPhone Backup Extractor en toegang krijgen tot uw back-up in "Expert-modus". Je zult de gegevens niet kunnen lezen of gebruiken om je aan te melden bij Facebook, tenzij je weet wat je doet - en we hebben onthouden hoe je dit om veiligheidsredenen publiceert - maar het kost niet veel om zoek het uit.

Andrew Coles

door Andrew Coles on , last updated

We hebben meer dan 3.000.000 mensen geholpen met het herstellen van hun verloren iPhone-gegevens. Laat ons u ook helpen.

Related posts

Geef een reactie

© 2008 - 2018 Reincubate Ltd. Geregistreerd in Engeland en Wales: #5189175, VAT GB151788978. Gebouwd met ❤️ in Londen.

Reincubate is een geregistreerd handelsmerk. Alle rechten voorbehouden. Algemene voorwaarden. Privacybeleid. Het zijn jouw gegevens, niet de onze. Wij bevelen 2FA aan.

close

Voor persoonlijke gebruikers

Voor bedrijven en pro-gebruikers

Scroll naar beneden voor zakelijke en pro-plannen

basis-

$34.95

iTunes-ondersteuning

Werkt met Windows en Mac

Klantenondersteuning

Bekijk de iCloud-apparatenlijst

KOOP BASIS

Premie

$69.95

Ondersteuning voor iCloud en iTunes

Werkt met Windows en Mac

Klantenondersteuning

5 iCloud-apparaten

KOOP PREMIUM
Jonathan

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Forensisch en iOS-expert

Voor zakelijke en professionele gebruikers

Bedrijf

$299.95

25 iCloud-apparaten

Klantondersteuning met hoge prioriteit

Commerciële licentie

Alle voordelen van ons premium plan

KOOP ZAKEN
ricloud
Demo onze API's voor bedrijven

Noodzaak van iCloud-toegang, forensische tooling, bulkherstel van verwijderde SQLite-gegevens?

Meer informatie over onze API's op reincubate.com.